No framework web Grails, projetado para desenvolver aplicações web de acordo com o paradigma MVC em Java, Groovy e outras linguagens para JVM, foi identificada uma vulnerabilidade que permite executar remotamente seu código no ambiente em que o web aplicativo está em execução. A vulnerabilidade é explorada enviando uma solicitação especialmente criada que dá ao invasor acesso ao ClassLoader. O problema é causado por uma falha na lógica de vinculação de dados, que é usada tanto na criação de objetos quanto na vinculação manual usando bindData. O problema foi resolvido nas versões 3.3.15, 4.1.1, 5.1.9 e 5.2.1.
Além disso, podemos notar uma vulnerabilidade no módulo Ruby tzinfo, que permite baixar o conteúdo de qualquer arquivo, desde que os direitos de acesso do aplicativo atacado permitam. A vulnerabilidade se deve à falta de verificação adequada do uso de caracteres especiais no nome do fuso horário especificado no método TZInfo::Timezone.get. O problema afeta aplicativos que passam dados externos não validados para TZInfo::Timezone.get. Por exemplo, para ler o arquivo /tmp/payload, você pode especificar um valor como "foo\n/../../../tmp/payload".
Fonte: opennet.ru